La DPA néerlandaise (AP) a infligé une amende de 15 000 EUR à CP&A. Le responsable du traitement avait documenté à la fois les causes de la maladie et les plaintes spécifiques des personnes concernées dans le cadre de l'enregistrement des absences des employés pour cause de maladie. La DPA a conclu que c'était illégal puisque les données sur la santé bénéficient d'une protection spéciale. Les employeurs ne sont pas autorisés à enregistrer les raisons ou les causes d'un congé de maladie. En outre, l'APD a constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour protéger le traitement lors de l'enregistrement des absences. À savoir, l'enregistrement des absences était accessible en ligne, sans aucune forme d'authentification. Pourtant, lorsqu'un système d'absence est accessible via Internet, le système ne doit être accédé qu'au moyen d'une authentification multifactorielle. De l'avis de la DPA, une autre forme d'authentification aurait été requise en plus de la connexion «normale».